JavaScript için Azure Key Vault Yönetimi istemci kitaplığı - sürüm 4.5.0

Azure Key Vault Yönetilen HSM, FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanıza olanak tanıyan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Azure Key Vault Yönetilen HSM hakkında daha fazla bilgi edinmek isterseniz şunları gözden geçirebilirsiniz: Azure Key Vault Yönetilen HSM nedir?

Paket@azure/keyvault-admin, tam yedekleme/geri yükleme ve anahtar düzeyinde rol tabanlı erişim denetimi (RBAC) gibi yönetim Key Vault görevleri için destek sağlar.

Not: Yönetim kitaplığı yalnızca Azure Key Vault Yönetilen HSM ile çalışır; Key Vault hedefleyen işlevler başarısız olur.

Not: Azure Key Vault hizmet sınırlamaları nedeniyle bu paket tarayıcıda kullanılamıyor, rehberlik için lütfen bu belgeye bakın.

Önemli bağlantılar:

• Kaynak kodu
• Paket (npm)
• API Başvuru Belgeleri
• Ürün belgeleri
• Örnekler

Başlarken

Paketi yükleme

NPM ile JavaScript ve TypeScript için Azure Key Vault yönetim istemci kitaplığını yükleyin:

npm install @azure/keyvault-admin

TypeScript'i yapılandırma

TypeScript kullanıcılarının Düğüm türü tanımlarının yüklü olması gerekir:

npm install @types/node

ayrıca tsconfig.json etkinleştirmeniz compilerOptions.allowSyntheticDefaultImports gerekir. seçeneğini etkinleştirdiyseniz compilerOptions.esModuleInteropvarsayılan allowSyntheticDefaultImports olarak etkin olduğunu unutmayın. Daha fazla bilgi için bkz. TypeScript'in derleyici seçenekleri el kitabı .

Şu anda desteklenen ortamlar

• Node.jsLTS sürümleri

Önkoşullar

• Azure aboneliği
• Mevcut bir Key Vault Yönetilen HSM. Yönetilen HSM oluşturmanız gerekiyorsa, bu belgedeki adımları izleyerek Azure CLI'yı kullanarak bunu yapabilirsiniz.

İstemcinin kimliğini doğrulama

Azure Key Vault hizmetiyle etkileşim kurmak için sınıfın veya KeyVaultBackupClient sınıfın bir örneğinin KeyVaultAccessControlClient yanı sıra bir kasa URL'si (Azure Portalda "DNS Adı" olarak görebilirsiniz) ve bir kimlik bilgisi nesnesi oluşturmanız gerekir. Bu belgede gösterilen örneklerde, yerel geliştirme ve üretim ortamları dahil olmak üzere çoğu senaryo için uygun olan adlı DefaultAzureCredentialbir kimlik bilgisi nesnesi kullanılır. Ayrıca, üretim ortamlarında kimlik doğrulaması için yönetilen kimlik kullanmanızı öneririz.

Kimlik doğrulamanın farklı yolları ve bunların ilgili kimlik bilgileri türleri hakkında daha fazla bilgiyi Azure Kimliği belgelerinde bulabilirsiniz.

KeyVaultAccessControlClient Oluşturma

Size en uygun kimlik doğrulama yöntemiyle kimlik doğrulaması yaptıktan sonra, oluşturucuda Yönetilen HSM URL'nizin yerine aşağıdaki gibi bir KeyVaultAccessControlClient oluşturabilirsiniz:

const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultAccessControlClient } = require("@azure/keyvault-admin");

const credentials = new DefaultAzureCredential();

const client = new KeyVaultAccessControlClient(`<your Managed HSM URL>`, credentials);

KeyVaultBackupClient Oluşturma

Size en uygun kimlik doğrulama yöntemiyle kimlik doğrulaması yaptıktan sonra, oluşturucuda Yönetilen HSM URL'nizin yerine aşağıdaki gibi bir KeyVaultBackupClient oluşturabilirsiniz:

const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultBackupClient } = require("@azure/keyvault-admin");

const credentials = new DefaultAzureCredential();

const client = new KeyVaultBackupClient(`<your Managed HSM URL>`, credentials);

Önemli kavramlar

KeyVaultRoleDefinition

Rol Tanımı bir izin koleksiyonudur. Rol tanımı okuma, yazma ve silme gibi gerçekleştirilebilecek işlemleri tanımlar. İzin verilen işlemlerin dışında tutulan işlemleri de tanımlayabilir.

Rol tanımları bir KeyVaultRoleAssignmentöğesinin parçası olarak listelenebilir ve belirtilebilir.

KeyVaultRoleAssignment

Rol Ataması, rol tanımının hizmet sorumlusuyla ilişkisidir. Bunlar oluşturulabilir, listelenebilir, tek tek getirilebilir ve silinebilir.

KeyVaultAccessControlClient

A KeyVaultAccessControlClient , Rol Tanımlarının (örnekleri) ve Rol Atamalarının KeyVaultRoleDefinition(örnekleri) yönetimine KeyVaultRoleAssignmentolanak sağlayan işlemler sağlar.

KeyVaultBackupClient

A KeyVaultBackupClient , tam anahtar yedeklemeleri, tam anahtar geri yüklemeleri ve seçmeli anahtar geri yükleme işlemlerini gerçekleştirmeye yönelik işlemler sağlar.

Uzun süre çalışan işlemler

tarafından KeyVaultBackupClient yapılan işlemler Azure kaynaklarının gerektirdiği kadar zaman alabilir ve bitmesini bekleyen programların yaşam döngüsü boyunca işlemleri izlemek, serileştirmek ve sürdürmek için bir istemci katmanı gerektirebilir. Bu, @azure/core-lro paketi aracılığıyla ortak bir soyutlama yoluyla yapılır.

uzun KeyVaultBackupClient süre çalışan işlemleri yürüten üç yöntem sunar:

• beginBackup, belirtilen Depolama Blobu hesabında Azure Key Vault Yönetilen HSM'nin yedeğini oluşturmaya başlar.
• beginRestore, daha önce depolanmış bir Azure Blob depolama yedekleme klasörüne işaret eden SAS belirtecini kullanarak tüm önemli malzemeleri geri yüklemeye başlar.
• beginSelectiveRestore, kullanıcı tarafından sağlanan SAS belirtecini kullanarak önceden depolanmış bir Azure Blob depolama yedekleme klasörüne işaret ederek belirli bir anahtarın tüm anahtar sürümlerini geri yüklemeye başlar.

Uzun süre çalışan işlemlere başlayan yöntemler, işlem tamamlanana kadar süresiz olarak beklemenizi sağlayan bir poller döndürür. Aşağıdaki örneklerde daha fazla bilgi bulabilirsiniz.

Örnekler

Hem JavaScript'te hem de TypeScript'te bu paketteki erişim denetimi ve yedekleme/geri yükleme özelliklerini gösteren örnekler var. Örnekleri çalıştırmak için ayrıntılı adımlar için lütfen ilgili benioku'ları izleyin.

• JavaScript örnekleri için benioku
• TypeScript örnekleri için benioku

Sorun giderme

Çeşitli hata senaryolarını tanılama hakkında ayrıntılı bilgi için sorun giderme kılavuzumuza bakın.

Günlüğün etkinleştirilmesi hatalarla ilgili yararlı bilgilerin ortaya çıkarılmasına yardımcı olabilir. HTTP isteklerinin ve yanıtlarının günlüğünü görmek için ortam değişkenini AZURE_LOG_LEVEL olarak infoayarlayın. Alternatif olarak, günlüğü çalışma zamanında içinde çağrılarak setLogLevel@azure/loggeretkinleştirilebilir:

const { setLogLevel } = require("@azure/logger");

setLogLevel("info");

Sonraki adımlar

Aşağıdaki bağlantılardan daha fazla kod örneği bulabilirsiniz:

• Key Vault Yönetim Örnekleri (JavaScript)
• Key Vault Yönetim Örnekleri (TypeScript)
• yönetim test çalışmalarını Key Vault

Katkıda bulunma

Bu kitaplığa katkıda bulunmak isterseniz, kodu derleme ve test etme hakkında daha fazla bilgi edinmek için lütfen katkıda bulunma kılavuzunu okuyun.